logo grande web4human blog

in Sicurezza | -October-17 | | 0

Come generare una password sicura

La password è l'oggetto di attenzione di questo articolo. Voglio farti capire la sua importanza e criticità, non voglio semplicemente mostrare come generare una password sicura, ma il mio scopo è quello di spiegarti il perché serve una password sicura e quali sono i rischi a cui si va in contro a non dare il giusto peso a questo elemento.
La password è la tua chiave segreta che protegge i tuoi conti corrente, le tue carte di credito, le tue fotografie, i tuoi video, i tuoi messaggi e in generale, la tua identità digitale ed è per questo che fa tanta gola a qualunque malintenzionato , e ti assicuro che i malintenzionati online sono davvero tanti e sono armati di ottimi strumenti, metodi e delle peggiori intenzioni!

Potremmo iniziare subito dando 3 set di regole di base per la generazione di una buona password:

  • La password deve essere complessa ( maiuscole, minuscole, numeri e simboli ) e di almeno 8 caratteri.
  • La password non deve aver nessun significato neanche parziale.
  • Una password diversa per ogni servizio e mai ripetere una password vecchia già usata.

 Come promesso scendiamo nel dettaglio e andiamo a vedere il come e il perchè:

PASSWORD COMPLESSA

Maiuscole, minuscole, numeri.... Avrai probabilmente già visto queste richieste da parte dei portali e dei sistemi che cercano di dare un po più di importanza alla sicurezza e ti sarai chiesto perché tutti cercano di complicarti la vita. La risposta risiede in una tipologia di attacco da parte di malintenzionati che viene eseguito su tutti gli account in maniera molto randomica, un attacco molto base chiamato Brute force.

immagine set di caratteri per sezione password complessa

Come funziona questo tipo di attacco? Una password è una sequenza di caratteri, una persona può cercare di indovinare una password provandole tutte, si potrebbe ad esempio provare le password come sequenza di caratteri ( aaaaa, aaaab, aaaac, aaaad, ....…). Chiaramente questo comporterebbe un tempo variabile che può andare da pochi secondi nel caso in cui la password fosse stata aaaaa o comunque nelle prima posizioni, fino a tempi umanamente inaccettabili di centinaia, migliaia e milioni di anni ( in base proprio alla complessità ). Ora devi pensare che se questi tempi sono necessari per un essere umano, non lo sono per una macchina, un computer è in grado di testare migliaia di password al secondo e più computer assieme possono unire la loro capacità di calcolo o dividersi il compito. Proprio qui nasce l'esigenza di avere una password complessa, complicare la combinazione a tal punto che anche un computer ha pochissime probabilità di scovarla in un tempo utile.

Fate attenzione al fatto che ho parlato di probabilità di scovarla....... anche se basse, quasi inesistenti, esiste la minima probabilità che una password venga craccata quasi subito. In fin dei conti anche se con basse probabilità, c'è gente che viene colpita 2 volte da un fulmine.

Vediamo ora le regole:

  • Almeno 8 caratteri
  • Almeno 1 Carattere minuscolo
  • Almeno 1 carattere Maiuscolo
  • Almeno 1 Numero
  • Almeno 1 simbolo
  • Evitare i caratteri ripetuti in fila (aa, bb, 11, 00, etc...) 

immagine la password non deve significare niente

LA PASSWORD NON DEVE SIGNIFICARE NIENTE.

Allo scopo di ricordarla semplicemente potrebbe venirti la tentazione di utilizzare un nome o vocabolo in genere che ha un significato particolare per te all'interno della tua nuova password.
Questo non è semplicemente sbagliato ma è doppiamente sbagliato !

Torniamo a parlare del nostro malintenzionato intento a trovare la tua password. Anzichè eseguire tentativi random che come abbiamo visto potrebbero impiegare tempi disumani, potrebbe decidere di iniziare l' attacco basandosi su dei vocabolari di password, proprie e vere liste di password probabili e/o rubate nel tempo ai vari utenti e unite in gigantesche basi dati pubbliche. Per evitare di ricadere in queste casistiche, evitate di essere scontati. Ricordate anche che probabilmente i vocabolari di password vengono processati per ottenere anche le varie varianti, qundi come non va bene ad esempio la parola italia, così non vanno bene le sue varianti come 1t4l14 (lettere in numeri) o italia00 (concatenamento parola numeri) e varie.

Bisogna anche considerare che a volte il malintenzionato potrebbe non essere proprio uno sconosciuto oppure che sei entrato nel mirino di qualcuno che vuole a tutti i costi farsi gli affari tuoi.

In questo caso potrebbe costruire un vocabolario fatto ad-hoc per te, con tutte le informazioni di pertinenza che è riuscito a trovare ( non è così difficile in rete ) per poi chiedere a un computer di combinarle assieme e tentare gli accessi.

Questi due elementi nuovi ci portano a definire un nuovo set di regole da applicare al modello precedente di complessità. Difatti seguendo solo il primo punto, sarebbe possibile impostare una password tipo Milano-0, ma come abbiamo appena visto, questa non è sicura.

Quindi evita accuratamente:

  • nomi di cani, gatti, figli, personaggi famosi, città, pianeti, squadre, piloti, marche, etc....
  • date di nascita, matrimoni, di divorzi, ricorrenze, vostre e di qualunque altro essere umano o evento, niente date in nessun formatto (giorno/mese, mese/anno etc.....)
  • il nome o una variante del nome dell'azienda, dell'organizzazione per la quale lavorate o del dominio di appartenenza
  • Aggettivi, verbi e qualunque altra parola esistente nel vocabolario di qualunque lingua
  • Qualunque variante degli oggetti descritti sopra
  • Qualunque concatenazione degli oggetti descritti sopra

Applicando anche questo set vediamo che una password possibile ora prende una forma più simie a kuZ7#41w

UNA PASSWORD DIVERSA PER OGNI SERVIZIO

La vita si complica sempre di più..... perché se già è difficile ricordarsi una password complessa è ancora più difficile ricordarne 2 o 3 o molte di più. Perché se una password è sicura non bisogna riutilizzarla su più sistemi ?
Il nuovo problema che andiamo a vedere riguarda non la nostra sicurezza, ma quella dei sistemi e servizi ai quali aderiamo

Per capirlo bene torniamo a trovare il nostro malintenzionato e questa volta volta lo troviamo intento in un tipo di attacco molto più complesso e non direttamente rivolto a noi: Sta rubando l'intero database degli utenti e delle password direttamente dai server sui quali girano servizi.
Un esempio famoso di questo tipo di attacco è quello avvenuto nel 2016 alle spese di yahoo, al quale sono stati sottratti per ben 2 volte i dati degli utenti per un totale di 1 MILIARDO di account violati !!

Una password per ogni servizio, immagine della sezione

Cosa viene rubato dal nostro malintenzionato una volta che ha avuto accesso ai database degli utenti ? Username, nomi, cognomi, risposte alle domande di recupero password, password criptate, caselle email, numeri di telefoni, account social associati, e molto altro ancora.
Se state utilizzando la stessa email e la stessa password anche su altri servizi, il malintenzionato può ora accedere a qualunque altro dei vostri servizi, caselle email e dati personali su cloud o simili
Nell' esempio sopra sono stati omessi volutamente svariati passaggi e tecnicismi del nostro malintenzionato che non passa direttamente dal furto all'accesso ai vostri account, ci metterà del tempo ma alla fine arriverà. Ricordate che inoltre i vostri dati NON li terrà per se ma probabilmente li condividerà con diverse comunity.

HAVE I BEEN PWNED ?

Esiste un servizio online che ti permette di capire se uno dei servizi al quale eri iscritto è stato violato e se le tue informazioni sono finite in un database. Se lo provi e il tuo indirizzo compare in una o più liste, capirai quale servizio e quando. La combinazione username/password che avevi in quel momento è compromessa.
Scrivici nei commenti il risultato del tuo test !

ecco il link: https://haveibeenpwned.com/

 

IL CAMBIO PASSWORD E LE FUNZIONI DI SICUREZZA AVANZATE.

Un ottimo metodo per rendere vani i tentativi di cui sopra, è quello di cambiare spesso la password.
Il consiglio che ti voglio dare è quello di eseguire periodicamente dei security check, controlli di tutti i tuoi account, dove possibile, controllare gli accessi e cambiare tutte le password, almeno ogni 3 o 4 mesi.

Diversi servizi come gmail e microsoft, offrono la possibilità di eseguire l’accesso in due step, ovvero quando viene rilevato un accesso da un dispositivo inusuale, viene inviato un sms contenente un codice usa e getta che funziona come doppia serratura. Se i tuoi servizi supportano questa funzione attivala subito, Ne guadagneresti enormemente in sicurezza. 

I RISCHI.

Cosa ci fa il malintenzionato coi tuoi dati ? Bhè come abbiamo visto, cercherà di accedere a TUTTI i tuoi account, cercherà di garantirsi l'accesso alle tue caselle email dalle quali potrà richiedere il reset dei tuoi account (ad esempio paypal)  per accedere poi alle tue carte e di conseguenza direttamente ai tuoi soldi, cercherà materiale privato o compromettente, video e foto nei vai cloud, acquisirà tutti i tuoi contatti, leggerà tutti i tuoi messaggi, se ne ha la possibilità ti ricatterà, userà la tua identità per chiedere soldi alle persone che conosci a nome tuo, per fare acquisti a nome tuo, per postare sui social a nome tuo, cambierà le password dei tuoi account chiudendoti furori e obbligandoti ad eseguire svariate procedure di ripristino.

Insomma i rischi non sono pochi e non sono di piccola entità.

Ho vissuto di persona situazioni simili e anche più gravi, nelle quali ho dovuto dare supporto a persone che si sono ritrovate con le proprie identità digitali completamente compromesse. In alcuni casi erano persone alle quali era stato fatto tutto questo discorso a voce, persone che probabilmente hanno pensato che io fossi paranoico e che queste cose se accadono, accadono sempre a qualcun altro, al massimo nei film..... Non so esattamente cosa pensavano, ma so dirvi cosa hanno pensato dopo essere stati violati: perché non gli ho dato retta ???

 

LA MORALE SULLE PASSWORDS:

Meglio rompersi l’inguine oggi per mettere una password che dover piangere disperati domani perché i nostri conti sono stati svuotati (e anche d peggio) :-)

 

immagine tool generatore di password online

UTILITY

nella nostra sezione delle utility, potete trovare un comodissimo generatore online di password random sicure  !!!
Ecco il link: http://web4humans.it/utility/generatore-password

Data pubblicazione: 21-October-17 / Ultima modifica: 27-January-18

Ti è piaciuto l'articolo? Condividilo!
Commenti

Accedi o registrati per lasciare un commento.

Link Sponsorizzato